傅豐,洪源

（1.黃淮學(xué)院計算機科學(xué)系,河南駐馬店463000；2.河南科技學(xué)院,河南新鄉(xiāng)453003）

網(wǎng)絡(luò)的互聯(lián)帶來了政務(wù)信息資源的共享,同時也帶來了更多的信息安全隱患.電子政務(wù)的支撐數(shù)據(jù)庫中存儲著大量的政府信息、企業(yè)信息和個人信息,經(jīng)常會涉及國家機密或國家安全,如何提高電子政務(wù)內(nèi)網(wǎng)的安全性和保護政務(wù)信息資源顯得尤為重要.但目前電子政務(wù)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)管理本身不是很嚴謹,核心的機密數(shù)據(jù)一般只采用簡單的授權(quán)口令保護,不能適應(yīng)電子政務(wù)進一步發(fā)展的需要.“2008年據(jù)美國FBI統(tǒng)計,83%的信息安全事故為內(nèi)部人員和內(nèi)外勾結(jié)所為,而且呈上升的趨勢.另據(jù)公安部最新統(tǒng)計,70%的泄密犯罪來自于內(nèi)部,電腦應(yīng)用單位80%未設(shè)立相應(yīng)的安全管理,58%無嚴格的調(diào)存管理制度”[1].訪問控制（Access Control）是通過某種途徑顯式地準許或限制訪問能力及范圍的一種方法,其基本目標是防止對任何資源進行未授權(quán)的訪問,從而使計算機系統(tǒng)在合法范圍內(nèi)使用.因此,運用訪問控制技術(shù)對內(nèi)部人員進行安全管理,對其行為進行監(jiān)控,防止其有意無意地對保密信息的瀏覽、竊取、串改和非法傳播,將對保障電子政務(wù)內(nèi)網(wǎng)數(shù)據(jù)存儲安全起到非常重要的作用.

1 訪問控制技術(shù)的比較

1.1 自主訪問控制DAC（Discretionary Access Contror）

在自主存取控制中,可以在每項資源對象上直接設(shè)置用戶的各種權(quán)限,也可以針對每個用戶組設(shè)定權(quán)限,每一個組對應(yīng)一定的崗位、職位、職責,而把用戶置于一個或多個組中,實現(xiàn)權(quán)限管理.其缺點是一旦組織內(nèi)的人員發(fā)生離職、升職、換崗等人事變動或者職能發(fā)生變化,都要對每項資源重新設(shè)置用戶許可的諸多細節(jié).當資源對象數(shù)目龐大、組織機構(gòu)復(fù)雜、變動頻繁時,授權(quán)管理需要花費很大的人力,且容易出錯；DAC將賦予或取消訪問權(quán)限的一部分權(quán)力留給用戶個人,不利于實現(xiàn)統(tǒng)一的全局訪問控制,也無法實現(xiàn)動態(tài)的和復(fù)雜的安全政策.另外,DAC能夠控制主體對客體的直接訪問,但不能控制主體對客體的間接訪問（利用訪問的傳遞性,即A可訪問B,B可訪問C,于是A可訪問C）,這也帶來了嚴重的安全問題[2].

1.2 強制訪問控制MAC（Mandatory Access Control）

在強制訪問控制中,對系統(tǒng)中的用戶和文件分成密級進行標識,對于任意一個對象,只有具有合法許可證的用戶才可以存取,用戶只能讀取比其密級低的文件,從而達到防止非授權(quán)用戶越權(quán)讀和修改文件的目的.強制訪問控制相對比較嚴格,避免了自主訪問控制中出現(xiàn)的訪問傳遞問題.其缺點在于主體訪問級別和客體安全級別的劃分不夠細致且與現(xiàn)實要求無法一致,在同級別間缺乏控制機制.另外MAC由于過于偏重保密性,對其他方面如系統(tǒng)連續(xù)工作能力、授權(quán)的可管理性等考慮不足[2].

1.3 RABC（Role-based Access Control）的優(yōu)勢

由于DAC和MAC安全性的缺陷及其基于用戶的機制造成的添加用戶和功能時操作的復(fù)雜性,在安全訪問控制中,可選擇RBAC訪問控制技術(shù).RBAC在用戶和訪問許可權(quán)之間引入角色的概念,用戶與特定的一個或多個角色相聯(lián)系,角色與一個或多個訪問許可權(quán)相聯(lián)系,角色可以根據(jù)實際的需要生成或取消,用戶可根據(jù)自己的需要動態(tài)地激活自己擁有的角色,避免無意中危害系統(tǒng)安全.通過應(yīng)用RBAC將安全性放在一個接近組織結(jié)構(gòu)的自然層面上進行管理,可有效地克服傳統(tǒng)訪問控制技術(shù)中存在的不足之處,靈活地解決權(quán)限管理、資源管理及權(quán)限審查問題,減少授權(quán)管理的復(fù)雜性,降低管理開銷,滿足政務(wù)協(xié)同管理的需要,提高政務(wù)系統(tǒng)靈活應(yīng)變的能力.

2 RBAC部件模型分析

標準RBAC由4個部件模型組成,分別是角色基本模型RBAC0、角色層次模型RBAC1、角色約束模型RBAC2和角色層次約束模型RBAC3[3-4].

2.1 角色基本模型RBAC0

定義：RBAC0模型主要由四個基本要素構(gòu)成,即用戶（U）,角色（R）、會話（S）和權(quán)限（P）.

UA=U×R,UA是用戶到角色的多對多關(guān)系；

PA=P×R,PA是權(quán)限到角色的多對多關(guān)系；

Users：R→2U是來源于UA的函數(shù),它將每一個角色映射到用戶集中.這里Users（r）=｛U,（U,r）,UA}；

Permissions：R→2P是來源于PA的函數(shù),它將每一個角色映射到權(quán)限集中,這里Permissions（r）=｛P,（P,r）,PA}；

roles（Si）：｛r,（user（Si）,r）,UA}；

試驗表明，當樣本數(shù)500較低時，CNN-2C算法相對于CNN-3C和CNN-4C算法準確率較高，但是樣本數(shù)達到750之后，CNN-3C算法準確率逐步提高，試驗結(jié)果顯示CNN-3C算法的確能夠提供比CNN-2C、CNN-4C網(wǎng)絡(luò)更好的性能。

其中,user：S→U,是將各個會話Si映射到一個用戶去的函數(shù)user（Si）；

roles：S→2R,是將各個會話Si與一個角色集合連接起來的映射,可隨時間變化而變化,且會話Si的授權(quán)Ur：roles（Si）=｛P,（P,r）,PA}.RBAC0模型見圖1所示.

圖1 RBAC0模型

在RBAC0中每個角色至少具備一個授權(quán),而每個用戶至少扮演一個角色.“用戶—角色”和“角色—權(quán)限”都是“多對多”的關(guān)系.每個用戶可以擁有多個角色且一個角色可以分配給多個用戶；每個角色可以被賦予若千個權(quán)限,某個權(quán)限也可以賦予給多個角色.

2.2 角色層次模型RBAC1

在一般的單位或組織中,特權(quán)或職權(quán)通常具有線性關(guān)系,因此在RBAC0中引進一定的層次結(jié)構(gòu)用于反映這一實際是自然的.如在多級安全控制系統(tǒng)內(nèi),存取類的保密級別呈線性遞增,公開＜秘密＜機密＜絕密.

其中安全策略的一個要求就是：要想合法地獲得信息,提出存取請求用戶的存取類級別要大于信息的存取類級別.RBAC1模型見圖2所示,RBAC1中支持的層次關(guān)系可以容易地實現(xiàn)多級安全系統(tǒng)所要求的保密級別的線性排列要求.RBAC1在RBAC0基礎(chǔ)上引入的角色層次結(jié)構(gòu),從數(shù)學(xué)的角度來講,其實是一種偏序關(guān)系,直觀上則體現(xiàn)為一種角色間的權(quán)限繼承關(guān)系,即高級角色繼承低級角色的權(quán)限.不過有時低級角色的某些權(quán)限拒絕被高級角色繼承,這時就需要把低級角色的這些不能被繼承的權(quán)限分離出去,而后形成一新的角色.此時高級角色繼承新角色的權(quán)限,同時還被賦予新的權(quán)限.

圖2 RBAC1模型

定義：RBAC1模型的組成同樣包括以下幾個部分：

U（用戶）、R（角色）、P（權(quán)限）以及 S（會話）；

UA=U×R,UA是用戶到角色的多對多關(guān)系；

RH=R×R,RH是角色上的一個偏序關(guān)系,稱之為角色層次關(guān)系或等級關(guān)系,一般記作“≥”.

Users：R→2U是來源于UA的函數(shù),它將每一個角色映射到用戶集中.這里

Users（r）=｛U,（U,r）,UA}；

Permissions：R→2P是來源于PA的函數(shù),它將每一個角色映射到權(quán)限集中.這里：Permissions（r）=｛P,（P,r）,PA}；

roles（Si）={r,（r1≥r）[（user（Si）,r）,UA]}其中,user：S→U,將各個會話Si映射到一個用戶集的函數(shù)user（Si）；

roles：S→2R,將各個會話Si與一個角色集合連接起來的映射,可隨時間變化而變化,且會話Si的授權(quán)U r=roles（Si）｛p,（rl≥r）[（p,r）,PA]}.

2.3 角色約束模型RBAC2

在絕大多數(shù)組織中,除了角色的層次結(jié)構(gòu)外,經(jīng)常要考慮的問題就是角色的約束機制.如一個公司的采購員和出納員雖然都不算是高層人員,但任何一個公司都決不會允許同時將這兩個角色分配給一個職員.原因很顯然,因為這種工作安排很可能導(dǎo)致欺詐行為的發(fā)生.所以RBAC0的另一個增強方向就是RBAC2,即角色約束模型.在RBAC2中,最常用的約束關(guān)系就是互斥角色關(guān)系.如果兩個不同的角色分配給同一用戶會造成非法的用戶操作,則稱這兩個角色靜態(tài)互斥；如果同時激活某用戶的兩個不同的角色時會造成非法的用戶操作,則稱這兩個角色動態(tài)互斥.在一個具體的系統(tǒng)中,不論是否具備層次角色的機制,約束機制都是很重要的.特別是對于一些大的系統(tǒng)來說,更是如此.因為系統(tǒng)管理人員通過規(guī)定約束條件就可以指導(dǎo)和控制下級的系統(tǒng)管理員的操作,不致發(fā)生失誤或越軌.實際上,通過約束機制,RBAC就可實現(xiàn)強制訪問控制MAC,而且包括了對RBAC自身的管理和控制.在RBAC中,除互斥角色關(guān)系外,還有基數(shù)約束關(guān)系和必備角色約束關(guān)系等.角色約束模型RBAC2的定義如下：

RBAC2包含了RBAC0所有基本特性,除此而外還增加了對RBAC0的所有元素的核查過程,只有擁有有效值的元素才可以被接受.

RBAC2中的約束條件（Constraints）指向UA,PA和會話中的user,role等函數(shù).一般說來,最好是根據(jù)其實際的類型和屬性加以描述.這樣就要考慮語言等環(huán)境,所以較難從給約束模型下一個嚴格的形式定義.在實際的系統(tǒng)應(yīng)用中,約束條件和實現(xiàn)的方式各有不同,應(yīng)采取盡可能簡單和盡可能高效的約束條件,作為RBAC系統(tǒng)的約束機制.

2.4 角色層次約束模型RBAC3

RBAC3模型實際上是對RBAC1和RBAC2的一個綜合.在該模型中主要包括以下幾部分：各實體對象、兩種分配關(guān)系、角色層次結(jié)構(gòu)以及作用于各部分之上的約束關(guān)系.其模型見圖3.

圖3 RBAC3模型

3 RBAC在電子政務(wù)內(nèi)網(wǎng)安全管理中的應(yīng)用

RBAC在電子政務(wù)內(nèi)網(wǎng)安全管理應(yīng)用中,主要通過訪問權(quán)限身份驗證、權(quán)限管理控制模塊設(shè)計與權(quán)限校驗等實現(xiàn)的,該方法在實際安全管理中得到了驗證,降低了系統(tǒng)訪問控制的復(fù)雜度,提高了系統(tǒng)的可維護性[5-6].

3.1 基于RBAC的訪問權(quán)限身份驗證

RBAC訪問權(quán)限身份驗證流程如圖4所示.用戶訪問系統(tǒng)時,首先進行身份驗證,然后對通過驗證的用戶進行訪問權(quán)限的驗證,對于驗證成功的顯示正確結(jié)果.用戶登錄時調(diào)用權(quán)限管理系統(tǒng)的用戶鑒別服務(wù),如果驗證成功,調(diào)用權(quán)限計算服務(wù),并返回權(quán)限關(guān)系表.如以J2EE為例,當用戶通過瀏覽器向服務(wù)器發(fā)出URL資源請求時,Web容器收集用戶相關(guān)的鑒權(quán)信息（如用戶名和口令）,并通過系統(tǒng)相關(guān)的信息安全服務(wù)進行識別和判定.在實現(xiàn)時,設(shè)計了一個基類Action,取名為BaseAction,在該Action中封裝權(quán)限審查邏輯,系統(tǒng)中所有需要進行權(quán)限審查的Action,都可以從該類繼承.這樣,就可以實現(xiàn)權(quán)限審查邏輯的集中管理,便于系統(tǒng)的維護.

圖4 RBAC訪問權(quán)限驗證流程

3.2 RBAC權(quán)限管理控制模塊的設(shè)計

權(quán)限控制模塊的設(shè)計包括權(quán)限列表結(jié)構(gòu)設(shè)計、權(quán)限管理機制設(shè)計兩部分.RBAC中,權(quán)限表示的是對某種客體資源的某種操作許可,由操作和操作所針對的資源或資源集構(gòu)成.當用戶要對一個需安全訪問控制的對象操作時,首先需要結(jié)合管理的實際情況和政務(wù)信息系統(tǒng)的特點,按照一定的編碼規(guī)則對資源和資源集操作進行定義,確定不同角色對這些資源對象訪問的操作模式,并體現(xiàn)在權(quán)限列表設(shè)計中.權(quán)限列表主要是為用戶擁有角色、角色擁有權(quán)限驗證提供相關(guān)信息.權(quán)限列表存儲了權(quán)限驗證基礎(chǔ)信息（具體的表結(jié)構(gòu)略）,如用戶信息、角色信息以及用戶/角色的相應(yīng)授權(quán)信息等,包含的數(shù)據(jù)實體有用戶、用戶組、權(quán)限組（角色）、權(quán)限和系統(tǒng)頁面組；數(shù)據(jù)實體間的關(guān)聯(lián)包含用戶—用戶組關(guān)聯(lián)、權(quán)限—權(quán)限組（角色）關(guān)聯(lián)、權(quán)限—頁面關(guān)聯(lián)和用戶組—權(quán)限組（角色）關(guān)聯(lián)等.在實際應(yīng)用中,采用不將URL資源及對應(yīng)權(quán)限關(guān)系存放于權(quán)限列表的方式,減少了權(quán)限審查時對權(quán)限列表的訪問次數(shù).

權(quán)限管理機制設(shè)計主要包括角色管理模塊和部門、用戶管理模塊,角色管理模塊主要實現(xiàn)角色的配置和管理.用戶管理模塊除了實現(xiàn)基本的用戶增加、刪除、修改功能外,還實現(xiàn)了向用戶分配角色的功能.

3.3 權(quán)限校驗

權(quán)限校驗是實現(xiàn)信息資源訪問控制模式的主要部分,其基本過程是對于某一具體資源,查找用戶權(quán)限分配表,判別當前用戶是否具有相應(yīng)的操作權(quán)限.權(quán)限校驗主要包括三個方面的內(nèi)容：一是Web服務(wù)器上的頁面資源訪問控制；二是系統(tǒng)菜單、按鈕顯示的訪問控制；三是政務(wù)信息資源數(shù)據(jù)庫中記錄級的授權(quán)訪問控制.對于頁面資源、系統(tǒng)菜單、按鈕顯示、編輯框等對象的控制,采用的技術(shù)是在Web服務(wù)器提出頁面資源請求時或在生成菜單、按鈕的網(wǎng)頁時做權(quán)限級的判斷,當用戶不具備權(quán)限時,則要求進行身份驗證.對于數(shù)據(jù)庫中記錄級的授權(quán)訪問控制,如一個部門只能被另一個部門查詢而無法修改、部門內(nèi)不同角色數(shù)據(jù)操作不同等,則需要根據(jù)業(yè)務(wù)邏輯規(guī)則進行確定.

4 小結(jié)

內(nèi)網(wǎng)安全是電子政務(wù)網(wǎng)絡(luò)安全建設(shè)中容易忽略但卻又十分重要的課題,當前我國已經(jīng)進入了電子政務(wù)發(fā)展的關(guān)鍵期,面對規(guī)模日益擴大的電子政務(wù)信息管理系統(tǒng),授權(quán)訪問控制信息等安全策略的重要性引起了更多的重視.運用RBAC技術(shù)對內(nèi)網(wǎng)進行訪問控制能夠減少授權(quán)管理的復(fù)雜性,促進政務(wù)信息資源安全管理機制的建設(shè),保障政務(wù)信息安全合理的利用.基于RBAC訪問控制模型及相關(guān)擴展模型必將在政務(wù)信息資源安全建設(shè)方面起到越來越重要的作用.

[1]王文文.從國內(nèi)兩大通信巨頭“間諜戰(zhàn)”來看企業(yè)內(nèi)網(wǎng)安全管理需求[EB/OL].(2010-01-07)[2011-02-12].http：//netsecurity.51cto.com/art/201001/176293.htm.

[2]向陽,魏玉鵬,王改梅.數(shù)據(jù)庫訪問控制技術(shù)研究[J].河南科技學(xué)院學(xué)報：自然科學(xué)版,2006,34（2）：101-104.

[3]Sandhu R,Munawer Q.“HowTo Do Discretionary Access Control Using Roles,”Proc.of the 3rd ACMWorkshop on Role-Based Access Control（RBAC-98）[M].Fairfax,VA：ACMPress,1998.

[4]Nyanchama M,Osbon SL.Information FlowAnalysis in Role-Based Systems[C].Journal ofComputingand Information,1994,l（1）,Special Issue：Proc.ofthe 6th International Conference on Computingand Information（ICCI）,Peterborough,Ontario,Canada.

[5]葉春曉,符云清,吳中福.RBAC中權(quán)限擴展的實現(xiàn)[J].計算機工程,2005,31（5）：141-172.

[6]林琳,詹永照,年軼.基于組織機構(gòu)圖的改進RBAC模型[J].江蘇大學(xué)學(xué)報：自然科學(xué)版,2006（2）：147-150.